VIRUS INFORMATICOS

QUE ES UN VIRUS COMPUTACIONAL?

Es un programa de computadora con actividad infecciosa que inserta copias de si mismo dentro de otras
aplicaciones o programas.

Un virus Computacional es similar a un virus biolgico viviendo en una clula, un virus hace nada hasta
que tu corres la aplicacin o programa en el cual esta agregado.

Sin embargo muchos virus son destructivos, algunos son simplemente muy molestos. Hay literalmente
miles de virus y cada vez surgen ms y ms poderosos con nuevas variantes de esos virus.

Si sabemos que los virus computacionales son programas de software sabemos tambin que son una lista
de instrucciones que dicen a la computadora que acciones hay que ejecutar y precisamente cuando y como hay
que ejecutarlas.

La verdad es que no se puede reconstruir toda la historia de los virus, el motivo de ellos es muy simple. La
causa de esto consiste en que las grandes empresas y los organismos gubernamentales, cientficos o militares
ocultaban la realidad respecto a los virus, cuando llegaron a padecer infecciones en sus sistemas, para no
reconocer la vulnerabilidad de sus equipos y sistemas.

HISTORIA DE LOS VIRUS.

En 1949, John Von Neumann, padre de la Computacin, describi algunos programas que se reproducen a
si mismos en su libro: Theory and Organization of Complicated Automata.

La primera informacin de algo que parece incluir ya cdigos que trabajan con virus, se refiere a la dcada
de los 60s, y es acerca de los estudiantes de computacin en el Instituto Tecnolgico de Massachusetts.

Para ese entonces el termino Hacker se traduca como programador Genial, no como ahora, que se utiliza
para nombrar a los piratas o en su mejor acepcin, se refiere a personas talentosas que se entretienen
infiltrndose en los sistemas de las grandes empresas que representan un reto para su inteligencia.

Los jvenes estudiantes se reunan por las noches y se dedicaban a elaborar programas sofisticados, as
desarrollan notables programas como Guerra en el Espacio (SPACE WAR) ya que uno de sus pasatiempos
favoritos era jugar amistosamente entre ellos, con programas que los dems no pudieran detectar.

Adems bombardeaban al programa del contrincante, que no saba de donde reciba el ataque y que
provocaba. Estas modificaciones que se hacan a los cdigos de los programas ajenos, no eran propiamente
virus, sino bombas que actuaban explotando Inmediatamente.

Tambin se sabe que en esa misma dcada, varios cientficos estadounidenses de los laboratorios de
computacin de la AT&T (bell Laboratories): H. Douglas Mellory, Robert Morris, y Kemn Thompson, ingeniero en
Sistemas, creador de la primera versin del sistema UNIX, inventaron un juego al que llamaron CORE WAR,
inspirado en un programa escrito en lenguaje ensamblador, llamado CREPPER, el cual tena la capacidad de
reproducirse cada vez que se ejecutaba.

El juego consista en invadir la computadora del adversario, con un cdigo que contena una serie de
informaciones destinadas a destruir la memoria del rival, o impedir su correcto funcionamiento.

Tambin disearon otro programa llamado REEPER el que seria el antivirus en ese momento, cuya funcin
era de destruir cada copia hecha por Creeper. Estaban consientes de la peligrosidad que el juego representaba
para los sistemas de computacin y se prometieron mantenerlo en secreto, pues saban que en manos
irresponsables el CORE WAR, podra ser empleado nocivamente.

Sin embargo, en 1983 el Dr. Thomson, durante una locucin en la Association For Computing Machinery da
a conocer la existencia de esos programas de virus, con detalles acerca de su estructura. La revista Scientific
American lo publica en su articulo, Computer Recreations, en el nmero de mayo de 1984, ofreciendo por dos
dlares las guas para creacin de virus propios.
[ 1 ].
I.S.C. ALEJANDRO TORRES MALDONADO
 VIRUS INFORMATICOS

En el ao de 1974, Xerox Corporation present en estados Unidos el primer programa que ya contena un
cdigo autoduplicador.

Los equipos Apple II se vieron afectados a fines de 1981 por un virus llamado Cloner, se presentaba un
pequeo mensaje en forma de poema. Se introduca en los comandos de control, e infectaba los discos cuando
se hacia un acceso a la informacin utilizando el comando infectado.

En 1986,el Dr. Fred Cohen realizo un experimento en la universidad del sur de California, presentado el
primer virus residente en una PC, por lo que hoy se le conoce como el padre de los virus informticos.

Es en 1986 cuando ya se difunde ampliamente un virus con la finalidad de causar destrozos, en la

informacin de los usuarios, y este ataca una gran cantidad de computadoras. Fue desarrollado en la ahora,
PAKISTAN, por dos hermanos que comerciaban en computadoras, y software. Adems uno de ellos escribi un
programa que se consideraba de mucha utilidad.

En diciembre de 1987, los expertos de IBM tuvieron que disear un programa antivirus para desinfectar
su sistema de correo interno, pues este fu contagiado por un virus no daino, que hacia aparecer en las
pantallas de las computadoras, conectadas a su red, un mensaje navideo, el cual al reproducirse a s mismo,
mltiples veces hizo muy lento el sistema, de mensajes de la compaa, hasta el punto de paralizarlo por
espacio de 72 horas.

El virus presentaba un mensaje navideo con un Arbol a lado, y peda al usuario que tecleara la palabra
CHRISTMAS. Si tecleaba la palabra el virus, se introduca en la lista de correspondencia, de correo electrnico,
del operador, y segua destinado por toda la red.

Cuando no acceda a la demanda, y se apaga el equipo, el virus impeda que se pudieran grabar los
trabajos, inconclusos, perdindose as, muchas horas de trabajo.

En 1988 se identifico el virus de JERUSALEM, que segn algunas versiones, fue creado por la organizacin
para la liberacin de Palestina con motivo de la celebracin del 40 aniversario, del ltimo da en que
palestina, existi como nacin, el viernes 13 de mayo de 1988.

En octubre de l989 ya se visualizaba a los virus, como una terrible epidemia, y empezaron a suceder
hechos deplorables. Un comunicado de un comando Tecnoterrorista, manifestaba que haba infectado una gran
cantidad de computadoras, y que el viernes 13 se destruiran automticamente los archivos almacenados en
diskettes o en discos fijos, desatando el pnico entre los usuarios, el cual estaba bsicamente en la
supersticin que provoca esta fecha.

Aunque no se realiz esta catastrfica profeca, sirvi para replantear el grave peligro al que estn
expuestos los datos, de cualquier sistema. Esta tesis, se refuerza, con la publicacin del 30 de octubre, en el
diario New York Times, la cual anunciaba que las computadoras de la NASA, haban sido infectadas, por
desconocidos causando problemas, en el lanzamiento del transbordador Espacial ATLANTIS.
En Estados Unidos unas 60 computadoras fueron infectadas en esta ocasin, y el programa intruso se
sigui reproduciendo por medio de la red comercial que tiene la NASA, con empresas privadas en aquel pas.

ALMACENAMIENTO DE LA INFORMACION

En cualquier dispositivo de almacenamiento magntico, en los procesos de lectura y escritura, puede

darse el caso de la perdida accidental de datos. Cuando estamos trabajando con discos duros, las velocidades
de acceso a estos dispositivos llegan a alcanzar las 3600 r.p.m. (revoluciones por minuto) y pueden manejar
millones de caracteres por segundo, por lo que cualquier variacin de voltaje mayor o menor que el normal,
puede ocasionar problemas.

La estructura o formato para almacenar la informacin en los discos magnticos, va a depender de

manera significativa, segn el Sistema Operativo que se este utilizando, aunque la manera de trabajar con la
informacin es muy semejante.
[ 2 ].
I.S.C. ALEJANDRO TORRES MALDONADO
 VIRUS INFORMATICOS

Cuando corremos alguna aplicacin en la computadora, o cuando desarrollamos algn problema, toda la
informacin que se genere se va almacenando en la memoria convencional o RAM, la cual es una memoria
voltil, es decir, que todo lo que hay en ella se borra cuando apagamos la computadora.

Resulta muy desagradable que por una interrupcin del suministro de la energa elctrica, se pierda todo
el trabajo de una tarde. Es por ese motivo que se desarrollaron una serie de sistemas de almacenamiento de
informacin que inicialmente consistan en cintas magnticas o cassettes en donde se guardaba toda la
informacin que exista en la memoria.

Esta manera de archivar los datos era muy semejante a las grabaciones de cintas comerciales, sea en
forma de pulsos acsticos. Como las computadoras manejan o reconocen la informacin como nmeros
binarios, hubo la necesidad de convertir estos pulsos acsticos a cdigo binario para que la computadora fuera
capaz de reconocer la diferencia entre los bits encendidos (los unos 1), y los bits apagados (ceros 0).

ESTRUCTURAS DE LOS DISCOS.

Para poder escribir en una hoja en blanco, de manera ordenada, es necesario marcarle filas y mrgenes,
pues as los discos, necesitan que se les hagan ciertas marcas para poder utilizarlos, al proceso de marcar o de
estructurar un disco para su uso, se le conoce con el nombre de formato. El formato define la forma y
distribucin de la informacin en el disco y se denomina sectorizacin suave lgica.
Algunos sistemas formatean a 40 pistas y otros hasta 80. EL DOS, en un disco de 5.25'' de doble cara y
de doble densidad 9 sectores y 40 pistas por cada lado por lo que tienen 720 sectores lgicos, cada uno de los
cuales almacena 512 bytes, dando la capacidad de almacenamiento total de 360 kb. Los discos d 3 1/2 '' con
80 pistas y 9 sectores tienen un total de 720 kb. ( En los equipos de 80286 las unidades de disco de 5.25
formatean a una capacidad de 1.2 Mb, y los de 3.5 hasta 1.4 Mb.

Sin embargo, la organizacin de cualquier disco es muy semejante en todos los sistemas: El sistema
operativo DOS, lo divide en anillos concntricos cuyo nmero puede ser 48 o 96 pistas por pulgada. Sin
embargo como no se utiliza la superficie del disco, slo se crean 40 80 de estas pistas. A su vez cada pista
es dividida en 8 o 9 sectores, dependiendo de la versin del DOS, que se use. (La unidad de disco reconoce la
posicin del primer sector mediante un pequeo orificio de indexin (INDEX HOLE), que se encuentra cerca de
centro del diskette.

Los sectores son divisiones en forma de gajos de naranja partida por la mitad, por lo que todas las pistas
del disco contienen en mismo numero sectores. Cuando se graba cualquier informacin en el disco siempre se
ocupan sectores completos.

El sistema operativo DOS, tiene dos maneras de identificar los sectores lgicos. Los sectores absolutos se
identifican por su posicin fsica en el disco, como por ejemplo: lado 0, cilindro 14, sector 6 y los sectores
lgicos se identifican comenzando por el sector 0 hasta el sector x.

QUE ES EL FACTOR DE INTERCALACION.

Las altas velocidades a las que giran los discos (3600 r.p.m. en el caso de los discos duros) no permiten
que el sistema operativo DOS. Pueda leer la informacin en forma continua, ya que despus de leer un sector y
ubicar la memoria, cuando este listo para leer el siguiente sector, este puede haber pasado por debajo de la
cabeza lectora y el DOS necesita esperar a que se produzca un giro completo del disco para leer el siguiente
sector.
Para evitar esta perdida de tiempo y optimizar los tiempos de lectura y/o grabacin, los discos flexibles o
duros, se preparan desde su lugar de fabricacin para que puedan grabar o leer un sector y dejar un nmero de
sectores esperando el sector apropiado para grabar o leer el siguiente sector y as consecutivamente.
QUE SON CLUSTERS.

El sistema operativo DOS optimiza la lectura y/o grabacin de datos creando grupos de sectores
continuos llamados CLUSTERS. Estas unidades de grabacin pueden contener uno o m s sectores segn sea el
formato del disco que se utilice y los enumera en orden secuencial, desde el nmero 2, (los primeros sectores
los reserva para el sector de carga (boot sector), y la tabla de Asignacin de Archivos. (FAT)).
[ 3 ].
I.S.C. ALEJANDRO TORRES MALDONADO
 VIRUS INFORMATICOS

Estos sectores continuos (Clusters) no se pueden representar o visualizar fsicamente en el disco, pero el
DOS los agrupa de esta manera por conveniencia propia, para optimizar los tiempos de lectura o de grabacin
de la informacin.

TIPOS DE VIRUS INFORMATICOS:

A s como los procesadores de textos, las bases de datos y los lenguajes de programacin en los virus
tambin pueden encontrar una gran variedad de ellos satisfaciendo a un conjunto inimaginable de gustos: hay
virus que afectan el sector de arranque, el procesador de ordenes, los archivos .COM y .EXE, compiadoras de
propsitos mltiples, monitores residentes en memoria, parsitos del hardware,... la lista es interminable.

CONTAMINADORES DEL SECTOR DE ARRANQUE ( BSIs)

Prcticamente todos los sistemas de PC's requieren que se le sean accesados, cuando se enciende el
sistema por primera vez, bien un disco flexible inicialisable, un disco fijo o un chip ROM. Los discos maestros
del sistema son denominados discos de arranque por que ayudan a las computadoras a activarse por medio de
unas secuencias iniciales e instrucciones, como dijramos de un estado de energa a las computadoras haya
llegado a ser conocido como arranque inicial.

El rea de disco de arranque del sistema donde se almacena los programas de las ordenes de arranque
es llamado comnmente sector de arranque del disco o registro maestro de arranque. Los virus
computacionales que se especializan en alterar, o infectar de alguna forma los archivos del sector de arranque,
son llamados a menudo " Contaminadores del Sector de Arranque".

CONTAMINADORES DEL PROCESADOR DE ORDENES (CPIs)

Casi todas las computadoras compatibles con IBM utilizan alguna versin de MS-DOS (MicroSoft Disk
Operating System) o de PC DOS caso todo el mundo nombra este sistema operativo, standard en la industria,
simplemente como DOS. Los archivos DOS pueden ser esencialmente divididos en DOS amplias categoras:
Archivos de apoyo al sistema de abajo nivel y archivos de programas de interfaz de usuarios de alto nivel.

Los archivos ocultos del sistema operativo son llamados: SYS y MS-DOS.SYS (IBMBIO. COM e IBM. COM
en el PC-DOS).

Estos archivos no son presentados cuando los estados de directorio se exhiben mediante la orden DIR.
Normalmente solo el BIOS incorporado de la computadora puede activar o manejar los archivos del sistema
operativo.
La interfaz bsica del usuario es el COMAND. COM., es el procesador de ordenes de m s alto nivel ya que
en el estn los programas centrales del DOS este archivo se carga despus de que los dos archivos de arranque
IO: SYS Y MS-DOS. SYS ya han sido cargados y ejecutados por la computadora.

Los virus diseados para infectar el COMAND.COM son normalmente llamados contaminadores del
procesador de ordenes. Ofrecen una ventaja distinta . Como muchos ordenes introducidas en el teclado son
pasados a travs del programa COMAND. COM los contaminadores del procesador de ordenes tiene la ventaja
de examinar una gran ventaja de examinar una gran mayora de la interaccin entre el usuario y sus
computadoras. Pueden explotar las oportunidades para esconderse tras accesos normales de discos.

A continuacin una descripcin breve de cada uno de ellos:

BUG-WARE:

Es el tiempo dado a los programas informticos legales diseados para realizar conjunto de funciones
concretas.

Debido a una inadecuada comprobacin una programacin enrevesada, causa daos al hardware o al
software de sistema.
[ 4 ].
I.S.C. ALEJANDRO TORRES MALDONADO
 VIRUS INFORMATICOS

Los programas de Bug-ware no son en absoluto programas de software rogue pero se convierten en
software rogue cuando fragmentos del cdigo estn mal implementados y daan o inutilizan los del usuario en
forma accidental.

CABALLO DE TROYA:

El caballo de Troya es el ancestro del software rogue, su nombre se debe al caballo de Troya parecen ser
aplicaciones tiles normales mientras que en realidad contienen una o ms instrucciones destructivas.

CAMALEONES:

Un pariente cercano al caballo de Troya, son los camaleones, actan como otros programas parecidos
que dan confianza al usuario hacindole creer que estn haciendo ciertas actividades normales, mientras que
en realidad estn haciendo alguna clase de dao.

BOMBAS DE SOFWARE:

Las bombas de software son las ms rpidas de producir y perfeccionar y lleg a ser el ms popular entre
los programadores de software rogue. Con mnima fanfarria y sin ningn pretexto y sin reproduccin virica
explotan por impacto y vuelan los datos.

BOMBAS LOGICAS:

Son programas que ejecutan ordenes informticas destructivas condicionales dependiendo de ciertas
variables.

BOMBAS DE TIEMPO:

Son iguales tcnicamente a las bombas lgicas, sin embargo la particularidad de sus horarios ambientales
les han dado su clasificacin propia su ejecucin depende de variables ambientales relacionadas con nmeros
y con el tiempo.

REPRODUCTORES:

Son conocidos popularmente como conejos, se reproducen continuamente hasta que haya insuficiente
espacio de disco o de memoria para almacenar su abundante descendencia. Los reproductores son programas
insuficientes o autnomos ya que a diferencia de los virus no atacan a los archivos de los datos del usuario.

Una caracterstica peculiar de los virus es que los procesos normales y rutinarios que realiza la
computadora, los convierte en muchas ocasiones drsticamente lentos. Pueden tambin interferir con los
perifricos de nuestro equipo, desquiciar nuestras impresoras, o hacer ciertas rarezas con el Mouse, inclusive
jugar con nuestro teclado.

Por ejemplo: los virus son capaces de reprogramar teclas, de tal forma que cuando pulsamos la tecla "A"
en nuestro monitor aparece el mensaje "AAAAA, Si esto sucede, tenemos que tener por seguro que estamos
conviviendo con algn tipo de virus.

Dos trminos comnmente usados cuando discutimos virus, son "el caballo de Troya" y "Gusano". Estos
trminos son frecuentemente intercambiados cuando los usamos para referirnos a los virus.

Un caballos de Troya es un programa que aparenta servirte en algn propsito, el cual lo estimulas
cuando corres tu aplicacin.

Un Gusano es un programa que se duplica a si mismo sin infectar a otros programas, algunos gusanos
copian sus programas de archivos de disco a disco, mientras otros se replican solamente en la memoria,
creando copias de ellos mismo, donde todos corren simultneamente alentando as los procesos de tu
computadora.
[ 5 ].
I.S.C. ALEJANDRO TORRES MALDONADO
 VIRUS INFORMATICOS

ATAQUE AL CODIGO DE PROTECCION

Este tipo de virus modifica los tributos de los archivos del sistema, al negar la lectura de cosas que se
pueden leer, permitir la lectura de cosas que no se pueden leer, hacer ejecutables de cosas que se pueden leer
y escribir, etc.

Como el tipo de proteccin en los sistemas modernos es muy complejo, no existen herramientas
adecuadas para establecer los archivos a su estado normal. Por lo que al utilizar una tcnica aleatoria de
modificacin, es muy difcil que el ataque sea detectado y corregido.

VIRUS BLOQUEADORES DE REDES.

Este tipo de virus se copia a si mismo tan r pido que ocasiona que la red se bloquee.

Algunos ejemplos son:

el virus que ataco a la ARPA a mediados de los aos de los 70s.

el golpe en AT&T en 1990
el virus de la tarjeta de Navidad en IBM en 1988
Y el que ataco a la red Internet en 1989.
Todos ellos bloquearon la red en forma accidental ya que su fin era otro.

ERRORES EJECUTIVOS.

Altos ejecutivos de alguna empresa pueden generar este tipo de virus, cuyo dao reside en una hoja de
calculo. Este tipo de virus infecta a los archivos .EXE o .COM de las hojas de calculo, y cada vez que se abre
una hoja de calculo, este virus modifica los datos numricos de las celdas de la hoja, provocando que se tomen
decisiones errneas, porque estn basadas en datos equivocados.

Como ya se haba mencionado, los virus tienen un sin fin de manifestaciones y pueden causar diversos
daos, es por eso que es conveniente poder discernir que acciones son producidas por virus, y que acciones,
son producidas por un accidente del usuario.

Y DONDE QUEDO EL ARCHIVO?

El borrado aleatorio de archivos consiste en el que el virus, despus de infectar ala computadora, busca a
los archivos que no han sido accesados en un cierto tiempo y los borra. Por ejemplo, los archivos que no han
sido accesados en 45 das, sern borrados del disco duro. Si un usuario no ha accesado un archivo en 45 das,
es muy probable que no lo haga durante otro mes y medio.

Cuando el usuario note la ausencia de dicho archivo, tratara de buscarlo en los respaldos, pero lo ms
probable es que tampoco se encuentre ah, porque ya han pasado ms de 3 meses desde que fue borrado.

El usuario pensara que el mismo borro el archivo por accidente, y con el tiempo comenzara a perder
confianza de sus propias acciones.

CONTRA LA PRODUCCION.

Los virus que afectan la produccin pueden ser creados por una empresa para atacar a su competencia.
En caso de una empresa productora de metal, por ejemplificar, el virus se reproduce en el sistema de computo
de la compaa rival e identifica el sistema de produccin para hacer que la temperatura en la tercera fase
desve 10 grados, todas las tardes de los martes, precisamente el da en que hoy hay supervisor en el sistema.

En consecuencia, el metal tendr una cantidad muy baja y si los administradores tratan de buscar el
problema, lo ms seguro es que no encuentren nada, ya que no trabajan el da en que esto ocurre. Con el
tiempo dejaran de vender el metal y la empresa que creo el virus aumentara sus ventas.
[ 6 ].
I.S.C. ALEJANDRO TORRES MALDONADO
 VIRUS INFORMATICOS

CUATRO CASOS PARTICULARES.

El virus de Turin, tambin conocido como el virus de la pelotita, es un segmento de cdigo, que ha
diferencia de la mayora de los virus, no modifica a los archivos ejecutables. Este virus graba parte del
mencionado cdigo n el rea de carga inicial, (Boot Area) , y para no afectarla, traslada, el programa de carga
inicial, al primer sector libre que encuentra y lo marca como defectuoso, en la FAT (tabla de asignacin de
archivos) para que este sector, no pueda ser accesado por el sistema operativo y no se puedan hacer
modificacin en el.

Como seccin del rea de carga inicial, (Boot Area), conocida como bloque de parmetros, de BIOS,
(BIOS, parameter Block (BPM), aloja los datos relativos al tipo de formato que tiene el disco, la versin del
sistema operativo, y las copias de tabla de asignacin, de archivos, mientras que el resto de su cdigo se anexa
al cluster, (Grupos de sectores contiguos), donde se copio el programa de carga inicial.

Esto es precisamente lo que ayuda a detectar este tipo de virus, pues, nos permite indagar si el cluster 2
aparece marcado como daado, (aunque fsicamente no lo este). De ser as ya lo tenemos localizado. Tambin
podemos buscar el programa de carga inicial, en el sector 13, con lo cual se confirman nuestras sospechas.

La bsqueda del programa de carga inicial, se facilita por las cadenas de caracteres de los mensajes de
error que contiene. Por ejemplo en la Versin 3.3. el mensaje de error dice: "Non System Disk Error Replace and
Strike..."

Con cualquier programa de utilidades que tenga la caracterstica de bsqueda, de cadena de caracteres
en cdigo ASCII, se puede indagar en que sector se encuentra el programa de carga inicial, (Boot Sector), puede
suponerse que un virus, lo ha desplazado de su sector original, y ha tomado su lugar marcndolo como daado.

Contrariamente a lo que se piensa acerca del virus de Turin, no resulta fcil infectar una computadora con
l cuando no se encuentra activo en memoria RAM. Los virus infectores del rea, de carga inicial, (BOOT
SECTOR) solamente se alojan en la memoria RAM, cundo se carga o se intenta cargar, el sistema operativo con
un disco infectado.

No hay que olvidar que los virus computacionales son solo programas, y el de TURIN, se carga en la
memoria, cuando la computadora, lee el cdigo de virus que se encuentra en el sector 0, (CERO). De ninguna
manera, puede tomar el control de la memoria.

FORMA DE CONTAGIO.

Si se inicializa la computadora, desde un diskette o desde el disco duro, infectado, el virus ser dueo de
todas las operaciones, de lectura, escritura, o copiado que intentemos hacer, y todo los discos que
introduzcamos en la computadora, ser contagiados inmediatamente con cualquier acceso que se haga, incluso
cuando pidamos visualizar el directorio.

Al encender la computadora, e introducir un disco de sistema operativo que este contaminando, lo

primero que se carga en la memoria, de la computadora, son las instruciones del segmento del cdigo del virus.
Una vez en la memoria, el virus le indica al sistema realizar un salto, (JUMP), para redireccionar la orden, de
lectura del programa, de carga que se encuentra alojado en algn otro sector, (en ese caso fue el cluster 2,
sectores 12 y 13 pues es el primero que se encontr libre al infectar el diskette).

Aunque el virus, pareciera estar trabajando paralelamente a los procesos que se estn llevando a cabo, la
realidad es que funciona bajo la modalidad de robo de ciclo al microprocesador.

Por ejemplo, para que los usuarios vean el contenido del directorio del disco, una forma de hacerlo es
mediante la orden DIR. Al introducir esta palabra y pulsar la tecla enter, inmediatamente las unidades lectoras
de disco, se encienden para leer el directorio. Los usuarios esperan que los sean dirigidos en se momento, y los
virus corresponden a estas expectativas. Ya que antes de las funciones de la orden DIR, sean ejecutadas,
los Contaminadores del procesador de ordenes, se introducen, buscan y si encuentran a otros programas que
sean procesadores de ordenes, entonces los infectan, y luego terminan realizando normalmente las funciones
[ 7 ].
I.S.C. ALEJANDRO TORRES MALDONADO
 VIRUS INFORMATICOS

de la orden DIR.

Naturalmente que los tiempos de ejecucin de las ordenes interceptadas por los virus, son mayores que
las de las ordenes no interceptadas, pero la mayora de los usuarios nunca se percata de ello.

Los virus CPIs, gozan de muchas cualidades que poseen los contaminadores del sector de arranque, ya
que los dos son cargados en el momento de arranque y permanecen residentes a lo largo de sesiones
completas de trabajo, y tienen la capacidad de supervisar y de controlar la mayora de las interacciones entre
los usuarios y las mquinas.

Pero la gran diferencia de estos dos tipos de virus, estriba bsicamente en que los BSIs, se instalan a un
nivel de los CPIs, lo cual los convierte en los ms potentes.

CONTAMINADORES DE PROPOSITO GENERAL (GPIs)

Los virus contaminadores de propsito general, estn diseados para infectar a todos los archivos
ejecutables, es decir, a los archivos que poseen las extensiones .COM y .EXE. Los virus GPIs no estn diseados
especialmente para infectar a los archivos de procesadores de ordenes , pero no olvidemos que
COMMAMD.COM., Tambin es un archivo ejecutable (.COM) , y por lo tanto esta en la lista de las vctimas de los
virus GPIs.

Los MPIs, pueden infectar a los sectores de arranque, a los procesadores de ordenes, a los archivos
ejecutables, o a todo.

La clave para que los virus multiprposito logren un nivel de supervivencia mas alto, radica en que
utilizan algunas veces hasta mas de dos tcnicas infecciosas.

Cuando los contaminadores Multiprposito obtienen el control durante los tiempos de ejecucin,
normalmente inspeccionan los sectores de arranque y los procesadores de ordenes en busca de v-markers, los
bytes codifican reveladores que identifican los archivos infectados, cuando no encuentran marcas viricas,
siguen la bsqueda de archivos que carezcan de v-markers, para proceder a infectarlos.

Los contaminadores multiprposito son la contaminacin, potente, adaptable y mortal de tecnologas de

virus computacionales.

CONTAMINADORES DE ARCHIVO ESPECIFICO (FSIs)

Al igual que los contaminadores del sector de arranque y que los contaminadores de los procesadores de
ordenes, los contaminadores de archivos Especficos (FSIs), infectan a un nmero fijo de archivos.

Los contaminadores del Archivo Especficos se introducen en los sistemas no infectados, utilizando los
canales Standard de infeccin, fijndose en discos y archivos aparentemente no infectados y esperando
oportunidades para saltar.

CONTAMINADORES RESIDENTES EN MEMORIA (MRIs)

(Memory Resident Infector)

Los contaminadores del sector de arranque y del procesador de ordenes, pueden clasificarse tambin
como contaminadores Residentes en Memoria, puesto que ambos tipos viricos permanecen cargados y activos
en memoria de la computadora cuando se ejecutan.

Los virus MRIs, puesto que estn siempre cargados y activos pueden interferir en la mayora de las
actividades de la computadora. Las ordenes de teclado pueden ser interceptadas, la salida de la pantalla puede
ser falseada y los datos del disco pueden ser controlados e incluso peor, modificados.
[ 8 ].
I.S.C. ALEJANDRO TORRES MALDONADO
 VIRUS INFORMATICOS

Adems de que tienen la capacidad de infectar a otros archivos no infectados en tiempos de calma en
operaciones normales.

INSERCION.

Es aquel mtodo que utilizan los virus, cuando ubican su cdigo de programa directamente dentro de un
cdigo no utilizado y de segmentos de datos de programas ejecutables para controlar los archivos. Los archivos
que son infectados por aadidura, excepto que el cdigo virico esta ahora dentro de los archivos ejecutables de
destino.

PROGRAMA ANTES DE LA INFECCION

PROGRAMA EXE

TAMAO DEL ARCHIVO =10240 BYTES

PROGRAMA DESPUES DE LA INFECCION

PROGVIRAL CODERAM.EXE

TAMAO DEL ARCHIVO: 10240 BYTES

Los virus por insercin son ms difciles de crear que los de aadidura, primordialmente porque el tamao
del cdigo virico tiene que ser mantenido al mnimo. Por otra parte los virus de aadidura pueden crecer hasta
casi cualquier tamao, especialmente cuando se disean para infectar a los archivos pueden ser mayores que
los 64k de limitacin impuesta a los archivos. COM.

REORIENTACION

Es uno de los ms sofisticados mtodos de infeccin empleados por los autores de virus complejos. Bajo
este esquema se introducen virus centrales (centro de control) en una o ms posiciones fsicas de discos, tales
como reas de particin de disco, sectores malos (Sectores de disco marcados como daados inutilizables), o
quiz como archivos escondidos ordinarios. Estos virus maestros utilizan las tcnicas de aadidura o de
insercin, implantan diminutos trabajadores viricos entre archivos ejecutables normales. Estos peones viricos
se activan cuando sus anfitriones infectados son ejecutados, reorientando el flujo del programa mediante la
emisin de llamadas (solicitudes de ejecucin) a sus masters viricos para luego devolver el control a los
programas anfitriones.

La infeccin por reorientacin hace una pareja perfecta con los virus de insercin, ya que los trabajadores
viricos puede ser tan pequeos como unas cuantas docenas de bytes o menos de longitud - perfectos para la
ocultacin dentro de limitados espacios no usados entre los programas - y luego este sorprendente hecho:
cuando se combinan con virus residentes en memoria (BSIs y CPIs) los trabajadores viricos pueden ser
comprimidos hasta dos bytes, los dos requeridos para llamar a una interrupcin de dos, la cual cede el control a
los virus en Memorial.

SUSTITUCION.

El mtodo de infeccin ms lento y ms tosco, usado por programadores de virus computacionales, es el

mtodo de sustitucin. Ya que simplemente sustituyen un archivo ejecutable destino por un operador virico. Es
por eso que podramos decir que no los infectan, simplemente los sustituyen.

PROGRAMA ANTES DE LA INFECCION

[ 9 ].
I.S.C. ALEJANDRO TORRES MALDONADO
 VIRUS INFORMATICOS

PROGRAM.EXE

TAMAO DEL ARCHIVO =10240 BYTES

PROGRAMA DE LA INFECCION

VIRUS.EXE

TAMAO DEL ARCHIVO= TAMAO DEL CODIGO VIRICO

El inconveniente de este mtodo radica en que los usuarios no se demoran mucho en percatarse de la
infeccin, promoviendo la rpida erradicacin de los virus contenidos.

Desde luego hay que aclarar que estos virus pese a la prontitud en que son descubiertos, una vez hayan
infectado a un archivo, este quedo prcticamente destruido e irrecuperable.

EL ARMAZON VIRICO.

Ms que una tcnica de infeccin es una tcnica de supervivencia. Es empleado por los virus ms
sofisticados. El armazn virico es en la prctica tan restrictivo como suena, envuelve completamente con
operarios viricos todas las funciones bsicas de la computadora. Se interceptan y enmascaran las acciones o
amenacen su supervivencia.

Los listados de los directorios son bloqueados y analizados y las presentaciones resultantes son
modificadas para que parezca que los archivos infectados tienen sus tamaos normales de archivos, mientras
que en realidad lleva unos cuantos KB ms el cdigo virico.

GUSANOS:

Son programas que viajan a travs de un sistema informtico interconectado de computadora en

computadora sin daar necesariamente el hardware o el software. Los gusanos viajan a travs de computadoras
anfitriones de la red en secreto reuniendo informacin, o dejando mensajes burlones o misteriosos antes de
trasladarse.

VIRUS:

Los virus son los favoritos del archivo de delincuentes.

Los virus informticos son programas que modifican otros programas para incluir una copia ejecutable y
posiblemente alterada de ellos mismos.
Los virus logrados expertamente no cambiaran la fecha del archivo ni cambiaran atributos tamaos o
totales de control.

Estos virus para no volver a infectar los archivos, colocan fragmentos de cdigo virico llamado, v-markers
(marcadores virus).

Generalmente cuando una computadora es anfitriona de algn virus, la conducta del sistema se vuelve
anormal.

Si se introduce un diskete en la computadora, este quedara infectado, inmediatamente a menos que haya
sido protegido contra escritura. El espacio que ocupa el virus de turin, es de apenas 1 kb en el disco y 2 kb,
cuando se carga la memoria, (la segunda parte del cdigo del virus, es la que activa la pelotita, que rebota en la
pantalla del monitor, de acuerdo con una seal de tiempo especifica.)

[ 10 ].
I.S.C. ALEJANDRO TORRES MALDONADO
 VIRUS INFORMATICOS

EL VIRUS DE PAQUISTAN.

El virus de Pakistn, al igual que todos los dems virus conocidos ha sufrido una serie de mutaciones
adicionales, modificaciones, etc., que propician que cada investigador que lo que llega a percibir, se refiera a el
de manera diferente.

Una de las versiones del virus de Pakistn es la que se conoce como Shoe virus"., o virus del zapato.

Este virus ocupa 9 kb. de memoria, y cuando esta presente en la computadora, hace muy lentos, los
procesos de acceso al disco, sobre todo cuando se busca, algn disco al cual contagiar, y este se halla protegido
contra escritura (muy contrariamente) a los que creen la mayora de las personas, ningn disco as protegido
puede ser infectado).

A diferencia del virus de turin, este virus si graba su cdigo en el rea de carga inicial, sobre los primeros
32 desplazamientos, rea conocida como bloques de parmetros BIOS, (BIOS parameter Block (BPB)). despus
lo copia den el sector 13 o en el primer sector vaco que encuentra y realiza una copia de s mismo en los
sectores siguientes, marcando todos estos como sectores daados.

Al trabajar con un disco infectado, por el virus de Pakistn, se nota que la infeccin no es sencilla. Debe de
cumplirse ciertos requisitos, para que este se lleve a cabo, de modo que no se debe de crear pnico, por causa
de los virus, ya que por lo menos las versiones conocidas, resultan manejables, si se toman las preocupaciones
necesarias, no presentan mayor problema.

El virus del zapato, que es una de las modificaciones que se hicieron al virus de Pakistn, presenta
caractersticas muy especiales como son las siguientes.

Aunque tericamente el virus de Pakistn no infecta discos duros, esta versin shoe virus, si contagia a
los discos fijos, y cambia de lugar el programa de carga inicial, esta vez, a los sectores 260, 264,y 268 del disco
los cuales fueron marcados como si fueron marcados como sectores daados por el virus.

Esta versin se fusiono, en su infeccin con una versin del virus de turin, por lo que ocupa ms
espacio. (Y marca ms sectores como daados). Pero predomina en control del virus Brain o Pakistan. Por esta
razn es que infecta los discos duros.

Cuando ya esta infectado un disco, no puede infectarse nuevamente, pero si lo desinfectaremos se

elimina el virus del sector de carga, aunque queden marcados los sectores daados, As que si vuelve a infectar
ese disco nuevamente el virus marcara, otra serie de sectores como daados, y all se alojara reduciendo la
capacidad de almacenamiento de datos del disco.

Cuando se restaura el programa de carga inicial en un disco infectado, para regresarlo a su lugar original,
(en el sector 0), se destruye el virus, pues aunque una parte de su cdigo siga en el disco le faltara la parte de
"carga inicial", que es la que lo activa en la memoria para cumplir su cometido.

Conclusin:

Al igual que el virus de la pelotita (turin), este es un infector del rea de carga inicial y acta de manera
semejante pero la diferencia entre los dos es que mientras el virus de turin, provoca solamente una molestia
visual en la pantalla del monitor, el de Pakistn (en sus versiones destructivas), si le podra daar sus archivos
de datos.

LA SECRETARIA DE HACIENDA Y CREDITO PUBLICO Y LOS VIRUS.

Los virus se desarrollan y se multiplican principalmente gracias a que caen en manos de usuarios
inexpertos o con conocimientos muy vagos, sobre computacin. Esto implica ciertos problemas en una
escuela de computacin, en una imprenta (impresora), etc., pero que problemas no ocasionaran en una oficina
tan importante como lo son las de Hacienda y Crdito Pblico.

[ 11 ].
I.S.C. ALEJANDRO TORRES MALDONADO
 VIRUS INFORMATICOS

En este punto, analizaremos algunas situaciones del rea de la computacin que envuelven directamente
a la SH y CP.

La ley dice en una parte: "En caso de detectar cualquier tipo de virus o que falta informacin en los
discos, estos no sern recibidos y se consideraran como no entregados".

El seor Marco Antonio Merino, escritor de la Revista Personal Computing Mxico, escribiendo en un
articulo de dicha revista, dos ancdotas.

En un acto donde acudieron autoridades de la SH y CP, para ciertas conferencias sobre

situaciones sobre situaciones laborales, e informticas, obsequiaron floppis que contenan informacin
complementaria a dichas platicas.

Se detecto posteriormente que todo el lote de floppis obsequiados estaba contaminado por virus.

Un causante se presento a entregar su informacin ante una oficina Federal de Hacienda,

(informacin que consista de ciertos documentos y un floppi de 5 1/4). El empleado de la SH y CP, una vez que
los acepto procedi a engrapar los documentos junto con el floppi.

Me pregunto que hubiera hecho el empleado con un floppi de 3 1/2"

(Parece fcil rerse pero, pongmonos en su lugar).

POR FORMAS DE CONTAGIO (virus )

VSA ................................. SECTOR DE ARRANQUE

VTP ................................. TABLA DE PARTICION

VSO ................................. SISTEMA OPERATIVIO

VAE ................................. ARCHIVO EJECUTABLE

VMP................................. MULTIPARTITAS

POR SUS TECNICAS ( VIRUS )

VCL ................................. CLANDESTINOS

[ 12 ].
I.S.C. ALEJANDRO TORRES MALDONADO
 VIRUS INFORMATICOS

VPM ................................. POLIMORFICOS

VRM ................................. RESIDENTES MEMORIA

[ 13 ].
I.S.C. ALEJANDRO TORRES MALDONADO